Server compromesso con psyBNC - quali sono i nostri prossimi passi?

1

Uno dei nostri server VPS ha un'installazione di psybnc su di esso. L'installazione è stata presente per un po 'di tempo e ora è stata portata alla nostra attenzione. Abbiamo dei backup, ma hanno anche psybnc su di essi. Quali sarebbero i nostri prossimi passi e quale potrebbe essere l'impatto potenziale dell'installazione di psybnc?

Personalmente non ho accesso ai server in questione, ma mi è stato chiesto di fornire input sulla situazione.

    
posta Robert H 21.02.2013 - 19:19
fonte

1 risposta

2

PsyBNC è un IRC bouncer , ovvero un programma destinato a inoltrare le comunicazioni per la IRC rete di chat. Di per sé, è piuttosto benigno; utilizza parte della CPU e della larghezza di banda e potrebbe essere utilizzato come strumento indiretto per la trasmissione di dati o il montaggio di attacchi di dubbia legalità.

La domanda reale è: poiché l'installazione e l'avvio di questo programma richiedono diritti amministrativi sul tuo server, chiunque lo abbia fatto avrebbe potuto fare molte più cose. Quindi, cosa ha fatto?

L'impatto potenziale è che questo individuo non identificato ha installato altri strumenti, ad es. un rootkit , il che significa che può tornare a volontà e controllare totalmente la macchina; nessun dato su di esso è sicuro, e la macchina può quindi essere utilizzata in vari schemi nefasti che potrebbero essere molto imbarazzanti per te (fino a farti precipitare in profondi problemi legali - in una sorta di scenario peggiore in cui l'aggressore è parte di Al-Qaida e porta la tua macchina all'attenzione della CIA). Come regola di base, se il tuo computer è rootkit, non è più il tuo computer.

Pertanto, il corso prudente consiste nel riformattare la macchina e reinstallarla da zero. Anche tutti i tuoi backup sono sospetti.

Nuke, nuke, nuke dall'orbita
Pulisci con il fuoco
Uccidi, uccidi, uccidi tutti i bit < br> Affinché le cose diventino difficili

    
risposta data 21.02.2013 - 19:41
fonte